4 min
Il regime nordcoreano ha ulteriormente consolidato la propria posizione come principale minaccia per l'ecosistema crypto globale, orchestrando furti per un valore complessivo di 2,02 miliardi di dollari nel corso del 2025. Si tratta di un nuovo record che supera il precedente picco di 1,3 miliardi registrato l'anno scorso, portando il bottino complessivo accumulato da Pyongyang attraverso attacchi hacker a circa 6,75 miliardi di dollari in asset digitali. Secondo l'analisi pubblicata da Chainalysis, azienda specializzata nel tracciamento on-chain delle transazioni illecite, questo dato rappresenta quasi il 60% dei 3,4 miliardi di dollari totali sottratti nel settore crypto a livello mondiale nel 2025.
L'exploit più devastante dell'anno è stato senza dubbio l'attacco all'exchange Bybit, con sede a Dubai, che a febbraio ha subito il furto di circa 1,5 miliardi di dollari, prevalentemente in Ethereum (ETH). Il Secret Service statunitense ha confermato l'attribuzione dell'attacco agli hacker dell'élite governativa nordcoreana, un gruppo noto per la sua sofisticazione tecnica e per operare sotto la diretta supervisione del regime. L'incidente Bybit rappresenta uno dei più grandi furti nella storia delle criptovalute, evidenziando come anche piattaforme centralizzate (CEX) dotate di team di sicurezza professionali rimangano vulnerabili alla minaccia persistente rappresentata dagli attori statali.
Le Nazioni Unite e ricercatori indipendenti hanno documentato come la Corea del Nord, isolata dalle sanzioni internazionali e con rapporti diplomatici limitati a una manciata di nazioni, utilizzi sistematicamente i proventi degli attacchi crypto per finanziare i propri programmi nucleari e missilistici. A differenza di altri Stati che occasionalmente ricorrono al cybercrimine sponsorizzato, nessun paese ha sviluppato un'operazione paragonabile a quella nordcoreana in termini di scala e frequenza degli attacchi contro aziende globali.
Il report di Chainalysis identifica un pattern preoccupante: parte significativa dei furti deriverebbe da hacker nordcoreani infiltrati come dipendenti remoti in aziende internazionali del settore tech e crypto. Questa tattica, sempre più diffusa, consente agli operatori di Pyongyang di ottenere accesso privilegiato alle infrastrutture interne, facilitando successivamente l'esfiltrazione di chiavi private e passkey necessarie per svuotare wallet aziendali. La strategia rappresenta un'evoluzione sofisticata rispetto agli attacchi puramente esterni, sfruttando la crescente tendenza al lavoro remoto nel settore tecnologico.
Matt Pearl, direttore dello Strategic Technologies Program presso il Center for Strategic and International Studies, sottolinea l'asimmetria del problema: "È estremamente difficile fermarli, perché sono in generale così isolati dal mondo e rappresentano uno stato canaglia a tutti gli effetti". Gli asset digitali offrono a Pyongyang un canale ideale per aggirare le sanzioni finanziarie tradizionali, dato che le criptovalute possono essere riciclate su scala industriale attraverso reti complesse di exchange decentralizzati (DEX), mixer e bridge cross-chain.
Documenti trapelati in passato hanno rivelato come la Corea del Nord abbia implementato alcune delle operazioni di riciclaggio internazionale più sofisticate al mondo. La natura pseudonima della blockchain e l'esistenza di protocolli privacy-focused rendono particolarmente complesso il tracciamento dei fondi sottratti, nonostante gli sforzi di società di analisi on-chain come Chainalysis, Elliptic e TRM Labs. Gli exchange centralizzati, che custodiscono enormi quantità di asset per conto dei propri utenti, rimangono obiettivi particolarmente appetibili proprio per la concentrazione di valore che rappresentano.
A differenza della finanza tradizionale, dove esistono meccanismi di reversibilità delle transazioni fraudolente e sistemi di protezione consolidati, l'architettura delle criptovalute privilegia l'immutabilità e la finalità delle operazioni. Una volta che una transazione viene confermata on-chain, non esiste autorità centrale in grado di annullarla, rendendo il recupero dei fondi estremamente problematico. Questa caratteristica fondamentale del design blockchain, concepita originariamente come garanzia di decentralizzazione e resistenza alla censura, si trasforma paradossalmente in una vulnerabilità quando sfruttata da attori malevoli ben organizzati.
Sebbene esistano casi isolati di hacker professionisti legati ad altri governi coinvolti in furti significativi – il Secret Service ha in passato collegato hacker governativi cinesi al furto di sussidi Covid statunitensi, mentre Stati Uniti e Regno Unito hanno accusato alcuni cybercriminali russi di legami con il Cremlino – nessuna operazione statale eguaglia la sistematicità e la scala di quella nordcoreana. Pearl osserva che, considerando come la Corea del Nord sia già soggetta a sanzioni estreme, restano pochi strumenti di deterrenza disponibili: "Ovviamente, gli strumenti tradizionali che abbiamo utilizzato non hanno funzionato. Continueremo a vedere questo fenomeno".
L'escalation dei furti crypto sponsorizzati da Pyongyang solleva interrogativi cruciali sulla sicurezza sistemica del settore e sulla necessità di standard più rigorosi per la custodia degli asset digitali. Mentre l'industria continua a dibattere su soluzioni come l'implementazione diffusa di wallet multi-firma, sistemi di time-lock e custody istituzionali certificate, il regime nordcoreano perfeziona costantemente le proprie tecniche di attacco e riciclaggio, rappresentando una minaccia persistente per l'intero ecosistema crypto globale.